DBCooper Opublikowano 20 Września 2016 Zgłoś Udostępnij Opublikowano 20 Września 2016 Witam wszystkich, jestem tu nowy, ponieważ założyłem tylko konto aby prosić Was o pomoc. Z własnego rozpędu ściągnąłem jakiś syf na komputer. Najpierw zainstalował mi mnóstwo programów, w tle działa wiele dziwnych procesów, załączyłem screen (chociaż nie widać na nim wszystkich bo część usunąłem). Ostatnie co cwaniaczek zrobił to wyłączenie Windows Defendera z niemożnością ponownego włączenia. GMER wykrył obecność rootkitów. Stopzilla i Malwarebytes wykryły min. oprogramowanie szpiegowskie oraz instalatora trojanów, usunęły to lecz nadal mam procesy i programy których nie mogę usunąć, zresztą pisząc to przychodzą mi powiadomieniao kolejnym adware. Avast znalazł wirusy i pozbył się ich, tak twierdzi znaczy. W każdym razie syf nadal siedzi w plikach. Proszę o pomoc. Addition.txt FRST.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 20 Września 2016 Zgłoś Udostępnij Opublikowano 20 Września 2016 Owszem, masa niepożądanych obiektów adware/PUP aktywnie działających, w tym infekcja WMI infekująca skróty przeglądarek. Ostatnie co cwaniaczek zrobił to wyłączenie Windows Defendera z niemożnością ponownego włączenia. Czy na pewno? Jedną z ostatnich akcji było doinstalowanie Avast. Jeśli w systemie Windows 10 pojawia się zewnętrzny antywirus, Windows Defender jest automatycznie deaktywowany i to normalne działanie mające zapobiec kolizji. Natomiast to co na pewno malware zrobiło, to samoistne wykluczenie się ze skanów Windows Defender, Avast, AVG i Avira. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj DPower version 1.0 (adware) oraz STOPzilla AntiMalware (skaner wątpliwej reputacji). W przypadku błędów kontynuuj dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 AdAnti; C:\Program Files (x86)\AdAnti\driver\x64\AdAnti.sys [114896 2016-09-10] () R1 MaohaWifiNetPro; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaoHaWiFiNet64.sys [871152 2015-10-27] () R2 CkasotyshanuchControls; C:\Program Files (x86)\Prucutstky_\shhcch.dll [315392 2016-09-20] () [brak podpisu cyfrowego] R2 MaohaWifiSvr; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe [170464 2014-12-18] (猫哈网络 版权所有) R2 Undp33; M:\Program Files\Undp\Undp3\Undp33.exe [193028 2016-09-20] () [brak podpisu cyfrowego] R2 Undp55; M:\Program Files\Undp\Undp5\Undp55.exe [193028 2016-09-20] () [brak podpisu cyfrowego] R2 Undp66; M:\Program Files\Undp\Undp6\Undp66.exe [193028 2016-09-20] () [brak podpisu cyfrowego] S0 is3srv; SySWOW64\drivers\is3srv64.sys [X] HKLM-x32\...\Run: [AdAnti] => C:\Program Files (x86)\AdAnti\AdAnti.exe [2504640 2016-09-14] () HKLM-x32\...\Run: [DiskPower] => C:\Program Files (x86)\DPower\DiskPower.exe [210432 2016-07-21] () HKLM\...\RunOnce: [OTUTPRODUCT_W7ZOS] => C:\Program Files (x86)\mpck\o_network.exe [287232 2016-09-20] (4XL) HKLM\...\RunOnce: [OMEWPRODUCT_BH2FO] => C:\Program Files (x86)\DPower\wemoshow.exe [290816 2016-09-20] (4XL) HKU\S-1-5-21-2170958554-1536813273-2872571073-1001\...\Run: [00WZGX7JDK] => C:\Program Files (x86)\DPower\9PVN12UK5U.exe [369664 2016-09-20] () Task: {18954CCF-A7FD-45D3-948E-6369C1A7DA52} - System32\Tasks\Ckasotyshanuch Controls => C:\Program Files (x86)\Prucutstky\crent.exe [2016-09-20] (CHENGDU YIWO Tech Development Co., Ltd) Task: {543AAFCA-8BD9-49A4-A562-7363D391D92E} - System32\Tasks\Berlletherserle Server => C:\Program Files (x86)\Plumly\ghiwodom.exe [2016-09-20] (VideoLAN) Task: {762DE7AA-77A5-428F-89C5-0837916680F5} - System32\Tasks\svchost => C:\Users\ROZZYJ~1\AppData\Local\Temp\is-EUEQE.tmp\51490.exe Task: {7AD8AE1D-3F00-415B-B311-62A80260110B} - System32\Tasks\CreateExplorerShellUnelevatedTask => /NOUACCHECK Task: {D0AD8016-022A-45C9-B033-F019894FDC02} - System32\Tasks\{C9429FE8-44BC-43CE-BC3A-CCCF782062DD} => pcalua.exe -a "C:\Program Files (x86)\DPower\uninstaller.exe" HKU\S-1-5-21-2170958554-1536813273-2872571073-1001\Software\Classes\exefile: HKU\S-1-5-21-2170958554-1536813273-2872571073-1001\Software\Classes\.exe: exefile => FirewallRules: [{9C4D98D9-7992-4CE2-BB9E-7E138948D446}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe WMI_ActiveScriptEventConsumer_ASEC: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2170958554-1536813273-2872571073-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins M:\Program Files\Undp C:\Program Files\SpaceSoundPro C:\Program Files (x86)\776wvx3o C:\Program Files (x86)\7t8iawri C:\Program Files (x86)\AdAnti C:\Program Files (x86)\badb4yrj C:\Program Files (x86)\DPower C:\Program Files (x86)\e3wpinat C:\Program Files (x86)\EasyHotspot C:\Program Files (x86)\host C:\Program Files (x86)\GreatMaker C:\Program Files (x86)\mpck C:\Program Files (x86)\sunnyday C:\Program Files (x86)\Plumly C:\Program Files (x86)\Prucutstky C:\Program Files (x86)\Prucutstky_ C:\Program Files (x86)\sbqh C:\Program Files (x86)\SPnP3 C:\Program Files (x86)\SPnP4 C:\Program Files (x86)\SPnP5 C:\Program Files (x86)\SPnP6 C:\Program Files (x86)\tsrhnlxr C:\Program Files (x86)\u72bgqw1 C:\ProgramData\AVAST Software\Avast\exclusions.ini C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Thunder Network C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaohaWiFi C:\Users\RozzyJames\AppData\Local\Calerdompluwise C:\Users\RozzyJames\AppData\Local\Lopuwardpleripy C:\Users\RozzyJames\AppData\Roaming\Microsoft\Windows\Start Menu\净广大师 C:\Users\RozzyJames\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk C:\Users\Public\Thunder Network C:\Users\Public\Desktop\Ореrа.lnk Folder: C:\WINDOWS\system32\GroupPolicy Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers /s Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txtumieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W skrypcie zostały usunięte wszystkie skróty Opera zawierające substytuty Unicode w nazwach. Odtwórz wszystkie skróty ręcznie. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut (poprzednio zabrakło tego trzeciego pliku). Dołącz też plik fixlog.txt. Odnośnik do komentarza
DBCooper Opublikowano 20 Września 2016 Autor Zgłoś Udostępnij Opublikowano 20 Września 2016 A tak, owszem, to Avast spowodował wyłączenie Defendera. Druga rzecz to to że taka sytuacja daje do myślenia, reklamujące się swoją wszechstronnością programy antywirusowe, każące sobie płacić za kompleksową ochronę a dobrze napisany wirus wyklucza się z ich skanów. Pytanie co jest bardziej niebezpiczne wirusy czy użytkownicy zyjący w fałszywym przekonaniu pełnego bezpieczeństwa. No ale cóż, dobrze że jesteście Panowie i chce Wam się pomagać w ten sposób. Biorę się do roboty z tym syfem EDIT. Zrobione to co miało być zrobione, dołączam logi. Jest może jakiś szybki sposób przywrócenia skrótów? Bo usunęly sie zewsząd. Z wyszukiwarki nawet. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 20 Września 2016 Zgłoś Udostępnij Opublikowano 20 Września 2016 Zrobione to co miało być zrobione, dołączam logi. Jest może jakiś szybki sposób przywrócenia skrótów? Bo usunęly sie zewsząd. Z wyszukiwarki nawet. Poprzednie musiały być usunięte ze wszystkich miejsc, gdyż to nie były już oryginalne skróty Opera, tylko zmanipulowane przez adware. Niestety musisz je odtworzyć ręcznie. PS. Apropos "Panowie", ja jestem akurat płci żeńskiej. Działania w większości wykonane. Poprawki: 1. Avast zablokował reset własnego pliku exclusions.ini. Musisz ręcznie usunąć wszystkie dodane przez adware wyjątki z poziomu interfejsu Avast. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\DPower_is1 S2 MaohaWifiSvr; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe [X] S1 MaohaWifiNetPro; \??\C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaoHaWiFiNet64.sys [X] S0 szkg5; SySWOW64\drivers\szkg64.sys [X] Task: {809D2E50-9D92-4C99-8F23-348CDF7ACF94} - System32\Tasks\{C1A5690D-E8E5-4410-87D1-0BA48C90DDF7} => pcalua.exe -a "C:\Program Files (x86)\DPower\uninstaller.exe" FirewallRules: [{9411D6C6-CCDD-4CCE-8BC7-871B68EF521C}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe C:\ProgramData\STOPzilla! C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{EBEE7053-62C4-E01D-76FF-B729A2589E40}-Download Download.lnk C:\Users\RozzyJames\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\WINDOWS\system32\config\software.szfi C:\WINDOWS\system32\Drivers\kgpcpy.cfg CMD: type C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
DBCooper Opublikowano 20 Września 2016 Autor Zgłoś Udostępnij Opublikowano 20 Września 2016 Przepraszam za zwrot ,,Panowie". Wynika to zapewne z niesłusznych stereotypów zakorzenionych w mojej głowie, że informatyk to facet ;D Oto logi: AdwCleanerS0.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 20 Września 2016 Zgłoś Udostępnij Opublikowano 20 Września 2016 Kolejne poprawki: 1. Zawartość Registry.pol pobrana w Fixlog wskazuje, że są nadal aktywne polityki blokujące wykluczenia Windows Defender. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions C:\WINDOWS\system32\GroupPolicy\gpt.ini C:\WINDOWS\system32\GroupPolicy\Adm C:\WINDOWS\system32\GroupPolicy\Machine C:\WINDOWS\system32\GroupPolicy\User Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powinien nastąpić automatyczny restart. Jeśli jednak nie, wymuś go ręcznie (konieczne, by wdrożyć reset GPO). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner ponownie, tym razem dobierz sekwencję opcji Skanuj + Oczyść. Przedstaw wynikowy log zczyszczenia. Odnośnik do komentarza
DBCooper Opublikowano 20 Września 2016 Autor Zgłoś Udostępnij Opublikowano 20 Września 2016 Restart rzeczywiście nie nastąpił, wykonałem go ręcznie. AdwCleanerC0.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 20 Września 2016 Zgłoś Udostępnij Opublikowano 20 Września 2016 Wszystko zrobione. 1. W skanie FRST nie został wykryty profil Opery, prawdopodobnie dlatego że masz przekierowane niektóre ścieżki na inne dyski. Czy w Operze nie ma nic podejrzanego w ustawieniach i zainstalowanych rozszerzeniach? 2. Zastosuj DelFix, w celu usunięcia FRST i AdwCleaner. 3. Na wszelki wypadek zrób skan za pomocą Hitman Pro. Jeśli coś wykryje, przedstaw wynikowy log. Odnośnik do komentarza
DBCooper Opublikowano 20 Września 2016 Autor Zgłoś Udostępnij Opublikowano 20 Września 2016 1. Z Operą wszystko w porządku, a z tymi ścieżkami przekierowanymi to coś nie tak? 2. Dołączam screen z Hitmana (plik .log nie chciał mi się dodać jako załącznik) oraz screen procesów w tle bo niektóre dziwne się wydają, ale pewnie jest ok, robię to na wszelki wypadek 3. Jakieś konkretne programy polecasz do obrony przed syfem? Odnośnik do komentarza
picasso Opublikowano 20 Września 2016 Zgłoś Udostępnij Opublikowano 20 Września 2016 1. Z Operą wszystko w porządku, a z tymi ścieżkami przekierowanymi to coś nie tak? Czyli wszystko OK. 2. Dołączam screen z Hitmana (plik .log nie chciał mi się dodać jako załącznik) oraz screen procesów w tle bo niektóre dziwne się wydają, ale pewnie jest ok, robię to na wszelki wypadek W procesach (już były sprawdzane w logach FRST) nic podejrzanego. W instrukcji było napisane, by zmienić nazwę raportu Hitman z *.log na *.txt, by wszedł w załączniki. Prawie nic nie wykrył, kopie FRST w Tymczasowych plikach internetowych (to fałszywy alarm) oraz jeden drobny śmieć w rejestrze. Wszystko usuń za pomocą programu. Hitman jako taki możesz usunąć z dysku lub zostawić na przyszłość do ewentualnych skanów na żądanie. 3. Jakieś konkretne programy polecasz do obrony przed syfem? Do wglądu ogólna lista oprogramowania: KLIK. Wygląda na to, że skończyliśmy. Skasuj też z dysku plik raportu C:\delfix.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi